從整個工業物聯網環境與威脅的面向來看,機臺安全事件的問題,發生在終端裝置、網路傳輸管理,以及管控控制流程的層面,但隨著未來智慧製造的連網需求、IT與OT的交錯,整體產業環境還有更多威脅面向,也必須面對。(圖片來源/精誠資訊)

今年8月,國內半導體龍頭大廠台積電,遭逢公司史上最大資安威脅,因為新機臺上線時疏於防範,導致惡意軟體感染,進而造成產線停擺,生產線要恢復全線運作,已經是3天之後,這不僅讓全臺灣民眾,都關注到機臺安全的資安議題,同時也敲響了高科技製造業的警鐘,因為就連業界模範生台積電也不能倖免。

事實上,在國際間已有案例在前,像是去年汽車界的雷諾-日產(Renault–Nissan),就曾經因此造成全球廠區短暫停產,爾後還有日本汽車大廠本田(Honda),以及美國波音(Boeing)的飛機製造工廠,都遭受到勒索軟體或蠕蟲的攻擊,為公司帶來不小的損失。

而這些事件都突顯資訊安全的重要性,看著台積電上這一課,已經讓國內製造業也感到憂心,同時正喚醒整個產業對於資安的重視。其實,就有不少資安業者表示,過往他們在推行工業系統相關資安解決方案,許多高科技製造業的態度是冷漠的,但現在他們對於資安的態度轉為積極、開放的趨勢,且會更進一步思考如何防止類似問題再發生。這一點我們認為相當重要,否則未來勢必將面對更多資安威脅,若無法有效因應,受害的將是整個國家製造業的前景,甚至可能影響到臺灣經濟與GDP。

也因為這樣的資安事件,讓產業結構面的問題浮上臺面。例如,工業領域存在很多老舊Windows電腦,生產線機臺設備與主控電腦,以及相關的網路設備,大多不是在IT部門管控範圍,這就成為了資安上的死角。

再仔細探究下去,我們還可以發現IT與OT領域,其實存在很大的不同。因此,在看待機臺安全問題之前,要先了解與一般IT環境之間的先天性差異,剖析組織架構、文化,以及技術與設備面等問題與挑戰。

從了解機臺安全與IT環境之間差異開始,強化製造業的網路安全

首先是組織架構,傳統上,OT與IT是兩個完全不同的專業領域,機臺安全就是歸高科技製造業廠區的管理體系負責,與辦公應用端的IT單位體系不同。從管理面向來看,一般資安團隊的編制都是在IT體系之下,資安問題該由廠區的負責人指揮或IT單位介入,目前並不明確,未來若要整合,管理策略如何協調或達成共識,就是挑戰。

第二個面向在於文化上的衝突。在資訊安全領域所強調的三要素中,主要包括了機密性(Confidentiality)、完整性(Integrity)、以及可用性(Availability),簡稱CIA,但對於製造業生產線的環境而言,是將可用性視為列為最優先的考量,至於數據資料的保密方面,由於傳統工業領域多規畫在與外部網路實體隔離的環境,不容易遭受網路資安威脅,因此過去對於防範外部威脅的需求較低。但隨著資安事件的衝擊與工業物聯網的發展之下,如何平衡產能與資安風險,也成為面臨的挑戰。

第三個面向是在技術與設備面的差異。除了在通訊協定上,IT與OT兩邊使用大不同,廠商在設計正常設備使用壽命,也不一樣,而程式的相容性也有很大差異。與先前所提文化差異相同的是,高科技製造業這類生產設備,幾乎是不間斷運作,因此我們可以看到一般廠長的任務,就是要求最高產能、最低成本,不像在IT環境內,較容易做到重新開機或更新修補,因此,這些維護行為,對於製造業生產線環境而言,則認為會有相當大的風險存在。

面對高科技製造業的生產線環境,基於以上考量,來落實資訊安全時,就會發現諸多不同於IT環境的問題。

舉例來說,在我們這次詢問多家資安與系統廠商,更瞭解到不少的問題點,例如,廠區環境以穩定生產為原則,作業系統版本的漏洞修補及更新並不容易,因此,面對針對舊弱點的新攻擊手法,就有很大風險;廠區內大多是扁平的網路架構,沒有縱深防禦,而且,自身擁有的安全措施相當有限。

再加上,工控系統相互連結的情況越來越多,不論是設備商遠端存取的管控,或是基於特定專案需求,為了一些應用程式要存取而要開啟連接埠,以及與非信任網路的連接,均打破傳統封閉式的網路環境,使得原本不容易遭受網路資安威脅的局勢已經改變,並帶來缺乏安全保障與管理的問題。

聚焦7大防護策略,從白名單防護做起,儘允許經授權應用程式執行

在資安防護成為各領域關注焦點的時代,毫無疑問,這次高科技製造業機臺的資安事件,也讓人關注生產線機臺安全問題的不同,以及當今製造業OT環境的資安挑戰,而防護上該從那些面向來著手,就是熱門的議題。

事實上,在台積電的新聞事件報導後,我們就看到不少資安業者都在探討機臺OS更新難題,並且建議採用白名單。然而,製造業生產機臺環境的安全防護等級要如何提升?這次我們也詢問了多家資安廠商,例如McAfee、賽門鐵克、趨勢科技,系統服務廠商精誠資訊與資拓宏宇,同時,還有工業電腦大廠研華科技,並整理出相關要點。

談到半導體製造業生產機臺的安全,要從哪幾個面向來看待?其實國際上已經有些參考的依據,如同McAfee臺灣區總經理沈志明提到,美國國土安全部旗下工業控制系統緊急應變小組(ICS-CERT),在2015年曾提出7大防護策略,包括:實施應用程式白名單、確保正確的配置與修補程式管理、減少易受攻擊受面、建構可防禦的環境、使用者身分與認證管理,部署安全的遠端存取,以及做好監控與應變。

特別值得注意的是,實施應用程式白名單為7大策略之首,而這次多家業者同樣提到了應用程式白名單。事實上,白名單的防護概念,很多年前就已經存在,不過,近年我們更是不時耳聞。

例如,第一銀行在2016年發生ATM盜領事件後,當時就有資安專家建議,應以白名單方式控管,僅允許少數的合法程式可以在ATM系統中執行。臺灣賽門鐵克首席技術顧問張士龍並指出,其實金管會原本的要求,是所有ATM都要安裝防毒軟體或白名單,但在第一銀行ATM事件後,要求改為只有白名單,顯示這項作法的落實,受到更大的肯定。

去年底,在2017資安產業策略會議(SRB)上,工研院資訊與通訊研究所所長闕志克,在對政府提出的建言之中,也強調了白名單觀念的重要性。他指出,過去使用黑名單來防護,因為惡意程式的數目比非惡意程式數目小很多,但現在的狀況則相反,變成惡意程式數目遠大於非惡意程式,因此他們也在倡導白名單的概念,也就是正面表列的方式,而對於固定功能的電腦,就應該用白名單的方式來保護,以限制電腦能運行的程式。如此一來,即使帶有病毒的新機臺,連上了生產內網,也無法輕易感染既有機臺。

圖片來源/賽門鐵克

做到機臺安全防護,應用程式白名單成為最關鍵的因應策略

在機臺安全防護上,應用程式白名單已經成為最普遍提及的因應之道。特別是對於自動化生產、固定功能的電腦而言,用正面表列的方式來防護,限制惡意軟體無法任意執行。

掌控生產線內網環境的資安風險,網路監控與資產盤點不可少

不論如何,面對現今資安威脅的無孔不入,廠區內無法再以過去思維來看待,即便沒有資訊背景的人員,也要了解資安,並對許多防護概念有所認知。

例如,像是製造業的生產線病毒擴散,很大原因也是在於老舊系統的問題,而長期以來缺乏更新修補和其他防護措施的系統,也越來越容易成為目標,在白名單防護之外,企業就要考量這樣的狀況是否需要解決──一方面是自己要能管理更新修補,一方面是交由設備機臺廠商管理時,能否提供配套的解決方案。

對於廠區整體內網環境,企業過去可能不夠重視網路架構,與監控、管理上的問題,但到了現在,也要有因應之道。不論是降低易受攻擊表面,以及建立可防禦的環境,都是可採取的行動。

例如,過往廠區在內網環境下,大多都會要求對USB裝置施以嚴格管控,但網路環境的管理也不該鬆懈,像是關閉不需使用的通訊埠,對非信任的網路連接,同樣必須有嚴格的控管措施。而在防禦的資安設備上,主要採行的措施包括網路入侵防禦系統(IPS)、病毒檢測與防火牆等,並且對網路進行分區隔離,避免入侵的橫向傳播。此外,關於身分認證的管理,以及設備商、供應鏈的遠端存取,也都應該要有保護措施。

值得注意的是,企業要有能力掌控資安風險,不少業者提到建立網路可視化機制,也是一大關鍵,這也如同現在資安常談到的持續性監控,以即時監控完整的作業全貌。但是,對於生產機臺所處的網路環境而言,過往並不重視這樣的概念,然而,這應該也與網路架構與使用的網路協定相當多元有關。

因此,我們近年也看到許多工控網路資安的解決方案,就是主打支援多種OT網路深層的封包解析,包括半導體業專屬SECS/GEM通訊協定等,且多是強調被動式的監控,以減少對於生產線內網造成衝擊或影響。透過這類工具,能夠進一步掌握OT網路環境的動態,提供設備資安盤點與網路流量監控,即便威脅事件發生後,也能藉此診斷與因應。

談到資安事件的應變,也是現在企業不容迴避的問題,而為了降低危害與風險,建立事件應變與處理的流程與標準,就很重要。

從台積電的資安事件應變處理來看,從業界觀點來看,都是認為符合期待,因為要能夠在短時間內,確定事件影響範圍,找出問題發生原因並盡快復原,以及預估損失,的確是必須優先執行的工作。而在法規遵循上,除了因應臺灣證券交易法,發生對股東權益或證券價格有重大影響之事項時,遵循資訊揭露制度並召開重大訊息說明,企業也應關注對上級主管機關的資安通報,以免後續影響擴大。

值得一提的是,在對外公開的層面與態度,台積電其實為國內產業帶來了不錯的示範,因此,在某種程度上,這也足以喚起國內高科技業對資安的重視。

不過,管理面與流程面的問題,仍是現行企業要面對的難題,趨勢科技臺灣區暨香港區總經理洪偉淦就提到,例如負責生產機臺的人要如何應變、設備機臺的盤點能否落實、工廠的安全管理權責,而這也都要獲得高層主管的支持,特別是廠區的主管。

圖片來源/精誠資訊

工業物聯網環境與威脅生態成未來關注焦點

從整個工業物聯網環境與威脅的面向來看,機臺安全事件的問題,發生在終端裝置、網路傳輸管理,以及管控控制流程的層面,但隨著未來智慧製造的連網需求、IT與OT的交錯,整體產業環境還有更多威脅面向,也必須面對。

整體產業也必須跟著動起來,未來還有更交錯的IIOT環境需要面對

在上述企業自保之道以外,還有關於產業與人才層面的議題,值得關注。

舉例來說,設備機臺廠商本身就該對資安有所重視,甚至企業也要扭轉既定思維,反過來要求廠商提供相應防護措施,而不是任由產業變成賣方市場,才能促進整個產業的資安防護力。

在國內也有設備商開始這麼做,例如,研華科技表示,像是為了因應類似WannaCry病毒的事件,其實微軟在2017年3月就提供包含全產品線的修正檔案,Embedded版本也在同年5月提出產品的修補檔案,而他們也與微軟簽署技術支援合約,並在狀況發生時,要能提供最即時的協助。同時,由於新版本的Windows作業系統都內建Windows Defender,預設就有防毒軟體,而針對較舊的版本Windows,他們則提供工業環境適用的McAfee主動防護與Acronis備份還原方案,來協助強化機臺安全性。

此外,鑑於IT與OT雙方的技術背景,具有很大的認知差距,要推動資安也就不易。精誠資訊數位應用整合事業部協理賴哲維提到,其實現在也有資安廠商關注這個面向,例如,Cyberbit Range是一個模擬攻防演練系統,可用來訓練IT與OT的人員,分別遇到資安事件要如何反應,甚至是培養橫跨領域的技術與經驗。

未來,更不容我們忽視的是,現在製造業已經在談智慧製造、生產自動化等議題,目的自然是為了提高生產和效率,因此導入物聯網、大數據與AI帶來各種創新應用,不僅如此,近年臺灣政府為協助產業轉型,於時,智慧製造也成為國家政策之一,因此,工業網路勢必朝向越來越開放的局面,資安環節也就愈來愈重要。

當然,從高科技製造業的生產機臺問題,往上延伸就是整個OT領域的安全,包括工業製造領域,以及水力供給、電力能源、交通運輸等關鍵基礎設施。再上一層,則是近年所在談的工業物聯網(Industrial Internet of Things,IIOT),如何整合IT與OT,將是大勢所趨。

無論如何,都必須喚起這些領域的資安意識,其實,這四五年來,各國政府對關鍵基礎建設安全,就已經採取高度重視的態度,積極強化相關防禦措施。對於國內的高科技製造業而言,因為環境正在改變,防護觀念也必須調整,資安必須列為優先考量。

機臺防護四大構面

關於機臺安全防護,資安業者賽門鐵克也以四大構面來說明,包括進階防護、系統管控、網路防護,以及稽核與警告。特別的是,在這當中他們並強調,應用程式白名單就是所有防護構面最重要的一點。

進階防護

● 應用程式白名單 ● 防止零時差攻擊 ● 限制作業系統行為 ● 緩衝區溢位及DLL Inject防護 ● 漏洞攻擊預防

系統管控

● 鎖住組態設定值 ● 防止提高系統管理員權限 ● 限制裝置存取 ● 防止未授權安裝 ● 勒索軟體防護

網路防護

● 依應用程式限制連線能力 ● 關閉後門程式 ● 詳細紀錄存取資訊

稽核與

● 監控檔案與目錄權限變更 ● 監控使用者與群組新增/修改 ● 提出警示/通知,以便早期應變

資料來源:賽門鐵克,iThome整理,2018年10月

2017-2018製造業生產線資安事件

2017年5月

在WannaCry勒索病毒剛開始在全球爆發時,雷諾-日產(Renault–Nissan)位於日本、英國、法國、羅馬尼亞和印度的汽車製造工廠,就造成短暫停產的影響。

2017年6月

日本汽車大廠本田(Honda),因發現WannaCry而緊急關閉琦玉縣一座工廠近兩天,影響千餘輛車的生產。不過,本田也表示,其他工廠都未受到影響。

2018年3月

時至2018年,WannaCry又導致美國波音(Boeing)的工廠中招,影響該公司北卡羅萊納州的工廠,後續他們則坦承,他網路安全中心偵測少數設備系統遭受入侵,不影響正常的產線或運輸。

2018年8月

最近,臺灣半導體晶圓製造龍頭台積電,仍然遭受到WannaCry變種病毒危害,造成晶圓廠產線大當機,肇因於安裝新機臺,導致位於臺灣的多個廠房和產線停工。

資料來源:iThome整理,2018年10月

保護工業控制系統的7大策略

對於製造業機臺安全,以及各式工業控制系統環境的安全問題,在2015年,美國國土安全部工業控制系統緊急應變小組(ICS-CERT),其實也就曾經建議了7大保護策略,可供企業當作參考。

根據當時ICS-CERT的研究,已經關注到ICS安全的問題日益嚴重的趨勢,他們並指出,增加外圍防護的方式,像是部署防火牆等,已經明顯不足,而在他們提出的所有策略中,部署應用程式白名單,就是第一個要強調的重點。

策略1 實施應用白名單

策略2 確保正確的配置與修補程式管理

策略3 減少易受攻擊受面

策略4 建構可防禦的環境

策略5 使用者身分與認證管理

策略6 部署安全的遠端存取

策略7 做好監控與應變

資料來源:ICS-CERT,iThome整理,2018年10月

 相關報導  生產機臺安全亮紅燈,防護威脅迫在眉睫


Advertisement

更多 iThome相關內容